防火墙配置
在此页面上
可访问的端口
Ops Manager 应用程序必须能够通过 HTTP 或 HTTPS 连接到用户和 MongoDB 助手。MongoDB 助手必须能够连接到 MongoDB 客户端 MongoDB 数据库。
尽管 Ops Manager 只要求打开 HTTP(或 HTTPS)和 MongoDB 网络端口以便与用户和数据库进行连接,但防火墙上打开的端口取决于启用的功能:加密、身份验证和监控。
此页面定义了哪些系统需要连接到其他系统上的哪些端口。
Ops Manager 与许多服务连接。此页面介绍部署与 Ops Manager 部署结合使用的各种组件时必须打开的端口。
任何中间防火墙必须打开的具体端口取决于启用了哪些功能,如加密、身份验证和监控。
提示
以下部分中列出的所有端口都是 MongoDB 安装文档中指定的端口,或是 已知端口 用于 IANA 分配的特定服务。如果端口号可以更改,则会在每个部分的表后注明。
要在没有互联网连接的情况下运行 Ops Manager,请参阅配置部署以限制互联网访问,以确保您拥有在没有互联网连接的情况下运行 Ops Manager 所需的所有二进制文件。
打开端口以访问 Ops Manager
Ops Manager 对网络端口的最低要求如下:
Ops Manager 用户和 MongoDB 助手都必须能够通过 HTTP 或 HTTPS 连接到 Ops Manager 应用程序。
Ops Manager 必须能够连接到运行 Ops Manager 应用程序 MongoDB 数据库的 mongod。
对于每个 Ops Manager 项目,MongoDB 助手必须能够连接到所有客户端 MongoDB 进程(
mongod或mongos)。Ops Manager 应用程序还必须能够向 Ops Manager 用户发送电子邮件。
要使用 Ops Manager,请向指定主机打开以下端口。
服务 | 默认端口 | 传输 | 方向 | 用途 | 使用 TLS? | |||||
|---|---|---|---|---|---|---|---|---|---|---|
HTTP | 8080 | TCP | 入站 | 提供从用户和 MongoDB 助手到 Ops Manager 的 Web 连接。 | No | |||||
HTTPS | 8443 | TCP | 入站 | 提供从用户和 MongoDB 助手到 Ops Manager 的安全 Web 连接。 | 是 | |||||
HTTP 或 HTTPS | 8090 | TCP | 入站 | 通过 Zabbix 或 Nagios 等监控服务为监控 Ops Manager 提供运行状况检查端点。它只能通过 要启用它,请参阅启用运行状况检查端点。启用后,您可以在以下位置访问端点: 重要提示:只能从 API 端点能够检查从 HTTP 服务到 Ops Manager 应用程序数据库和备份快照存储的连接。 成功的响应会返回以下内容: | Optional | |||||
MongoDB | 27017 | TCP | 出站 | 连接到 MongoDB 应用程序、备份和客户端数据库。 | Optional | |||||
SMTP | 587 | TCP | 出站 | 从 Ops Manager 向 SMTP 主机或 AWS SES 发送电子邮件。 | Optional |
注意
要为 Ops Manager 设置非默认端口,请参阅管理 Ops Manager 主机名和端口。
要为应用程序数据库配置不同的端口,请参阅
mongo.mongoUri。要为客户端数据库配置不同的端口,请参阅部署独立 MongoDB 实例、部署副本集,或者部署分片集群(适用于新部署)或将现有的 MongoDB 进程添加到 Ops Manager(适用于现有部署)。
打开端口以访问 Ops Manager 和 MongoDB 主机
大多数 Ops Manager 管理都可以通过用户界面执行。某些过程需要访问操作系统。要允许管理员访问 Ops Manager 以及 MongoDB 主机,请为这些主机打开以下端口。
服务 | 默认端口 | 传输 | 方向 | 用途 | 使用 TLS? |
|---|---|---|---|---|---|
ssh | 22 | TCP | 入站 | Linux 系统管理。 | 是 |
RDP | 3389 | TCP | 入站 | Windows 系统管理。 | No |
使用 Ops Manager 打开端口以备份、恢复和查询 MongoDB 实例
Ops Manager 可以将 MongoDB 数据库备份到一个或多个存储系统:
要备份 MongoDB 主机,请打开首选备份主机(块存储、S3 兼容存储快照存储和/或文件系统快照存储)的以下端口:
服务 | 默认端口 | 传输 | 方向 | 用途 | 使用 TLS? |
|---|---|---|---|---|---|
MongoDB | 27017 | TCP | 出站 | 将整个数据库的快照备份到块存储,或将快照元数据备份到 S3 兼容存储的块存储元数据数据库。 | Optional |
HTTPS | 443 | TCP | 出站 | 将数据库快照数据备份到 S3 兼容的存储桶。 | 是 |
NFS | 2049 | TCP | 出站 | 将数据库快照备份到基于 UNIX/Linux 的文件系统。 | No |
CIFS | 3020 | TCP | 出站 | 将数据库快照备份到基于 Windows 的文件系统。 | No |
代理服务器 | 25999 | TCP | 出站 | 查询快照备份主机。 | No |
还可以使用 Ops Manager 应用程序中显示的链接来恢复快照。如果用户要下载快照,则需要打开的端口与使用 Ops Manager 所需的端口相同。
要查找下载链接,请单击 Continuous Backup(持续备份),然后单击 Restore History(恢复历史记录)标签页,再单击快照旁边的 download(下载)链接。
注意
要为块存储配置不同端口,请参阅管理块存储快照存储。
要为 S3 兼容存储的快照存储元数据数据库配置不同的端口,请参阅管理 S3 兼容快照存储。
MongoDB 3.4.2Enterprise 及更高版本提供查询备份快照的功能。Ops Manager 将这些可查询快照预配为只读 MongoDB 实例,如查询备份中所述。要查询备份快照,请打开以下端口:
服务 | 默认端口 | 传输 | 方向 | 用途 | 使用 TLS? |
|---|---|---|---|---|---|
MongoDB | 27700-27719 | TCP | 入站 | 启用应用程序主机和可查询备份快照之间的通信。 | Optional |
打开端口以使用 LDAP 对 Ops Manager 用户进行身份验证
MongoDB Enterprise 用户可以使用 LDAP 对 Ops Manager 用户进行身份验证。要使用 LDAP 进行身份验证,请在 Ops Manager 和 LDAP 主机上打开以下端口。
服务 | 默认端口 | 传输 | 方向 | 用途 | 使用 TLS? |
|---|---|---|---|---|---|
LDAP | 389 | UDP | 两者 | 针对 LDAP 主机对 Ops Manager 用户进行身份验证和/或授权。 | No |
LDAPS | 636 | UDP | 两者 | 针对 LDAP 主机对 Ops Manager 用户进行身份验证和/或授权。 | 是 |
要配置 Ops Manager LDAP URI 字符串,包括配置非标准端口,请参阅用户身份验证。
打开端口,通过 MongoDB 进行身份验证
MongoDB Enterprise 用户可以使用 Kerberos 或 LDAP 对 MongoDB 用户进行身份验证。要使用 LDAP 或 Kerberos 进行身份验证,请在 MongoDB 客户端数据库、Ops Manager 和 Kerberos 或 LDAP 主机之间打开以下端口。
服务 | 默认端口 | 传输 | 方向 | 用途 | 使用 TLS? |
|---|---|---|---|---|---|
Kerberos | 88 | TCP / UDP | 出站 | 请求通过 Kerberos 主机对 MongoDB 用户进行身份验证。 | No |
Kerberos | 88 | UDP | 入站 | 接收针对 Kerberos 主机的 MongoDB 用户身份验证。 | No |
LDAP | 389 | UDP | 两者 | 通过 LDAP 主机对 MongoDB 用户进行身份验证和/或授权。 | No |
LDAPS | 636 | UDP | 两者 | 通过 LDAP 主机对 MongoDB 用户进行身份验证和/或授权。 | 是 |
要配置 Kerberos 身份验证配置为使用 Ops Manager 应用程序数据库,请参阅将 Ops Manager 配置为使用应用程序数据库进行身份验证。
使用 KMIP 打开端口以管理加密密钥
使用 WiredTiger 存储引擎的 MongoDB Enterprise 部署支持原生加密选项。您可以使用 KMIP 服务来管理主加密密钥。要通过 KMIP 支持加密存储引擎,请打开备份守护程序主机、MongoDB 主机和 KMIP 主机之间的以下端口。
服务 | 默认端口 | 传输 | 方向 | 用途 | 使用 TLS? |
|---|---|---|---|---|---|
KMIP | 5696 | TCP | 出站 | 在 MongoDB 数据库和 KMIP 主机之间发送消息。 | 是 |
注意
如果更改 KMIP 主机的端口,请参阅加密备份快照以将 Ops Manager 配置为使用该新端口。
互联网网站访问
如果未将 Ops Manager 配置为本地模式,则需要通过 HTTPS 访问以下互联网网站:
网站 | 用途 |
|---|---|
downloads.mongodb.com、downloads.mongodb.org | |
opsmanager.mongodb.com | 下载 MongoDB版本清单。 |
fastdl.mongodb.org |